Botnetze als größte Bedrohung im Internet
- Spam-Kampagnen
- Verteilte Denial-of-Service-Angriffe
- Identity Theft und sonstiger Datenklau (Bank-/Kreditkartendaten, Benutzeraccounts)
- Infektion anderer Rechner mit Malware
Das durch den Zusammenschluss mehrerer Bots zu einem Botnetz entstandene Angriffspotenzial ist immens. Obwohl es schwer ist, die Größen von Botnetzen genau zu beziffern, sind Abschätzung möglich. In der Vergangenheit konnten Botnetze mit bis zu sechsstelligen Anzahlen von Bots aus aller Welt beobachtet werden. Jedoch gilt grundsätzlich: je mehr Bots Teil eines Botnetzes sind, desto einfacher können Sicherheitsexperten dieses Botnetz entdecken. Deshalb zeichnet sich derzeit ein Trend zu vielen kleineneren Botnetzen ab. Da diese prinzipiell aber zentral gesteuert werden können, ist das Gefahrenpotenziel dadurch nicht gemindert.
Infektion neuer Computer
Um weitere PCs ohne Wissen des Benutzers mit Bot Malware zu infizieren, setzen die (anonymen) Verwalter von Botnetze verschiedenartige Methoden ein. Eine Art der Infektion sind so genannte Drive-By-Infections, bei denen sich Benutzer beim Besuchen von für Angriffe preparierte Webseiten quasi im Vorbeigehen mit Malware infiziert. Ferner wird Malware auch weiterhin oft per E-Mail verbreitet. Anwender, die ihr System nicht mit Patches für Betriebssystem und Virenscanner aktuell halten setzen sich darüber hinaus weitaus größeren Gefahren aus. So wurde auch ein Teil der Bots über inaktuelle Applikationen infiziert, indem Angreifer sicherheitskritische Schwachstellen in diesen ausnutzen.
Kommunikationskanäle innerhalb von Botnetzen
Um mit den Bots zu kommunizieren müssen die Verwalter von Botnetzen Kommunikationsstrukturen und –protokolle nutzen. Da diese Kommunikation zwischen Botnetz-Verwalter und Bots meist für den Austausch von Befehlen und zur Steuerung der Computer ausgelegt sind, wird sie oft Command & Control (C&C) genannt. Derzeit sind sehr unterschiedliche C&C-Strukturen im Internet zu finden. Die Kommandos können so beispielsweise von einem zentralen Server aus versendet werden. Dies wird oft über bestehende Protokolle wie HTTP oder IRC gelöst. Ein anderer Ansatz ist eine dezentrale Struktur des Botnetzes, beispielsweise über P2P-Protokolle. Auch hybride Ansätze, d.h. Botnetze mit gemischten Strukturen, können neuerdings beobachtet werden.
Erforschung von Botnetzen
Im Rahmen eines zweijährigen Forschungsprojektes analysieren wir die Funktionsweisen von Botnetzen, mit besonderem Augenmerk auf die Struktur der C&C Steuerkanäle. Diese Information kann dann genutzt werden, um Bot-Infektionen möglichst frühzeitig zu erkennen. Unsere Forschung zielt dabei insbesondere auf die Erkennung in Hochgeschwindigkeitsnetzen zum Beispiel bei Internet Service Providern oder Internet Exchange Points, wie z.B. unserem Projektpartner DE-CIX, ab. Auf den Unterseiten des Forschungsprojekts Botnetze stellen wir weitere Details unserer Forschungsaktivitäten vor.